Compact UTM hardware for home license?

Hi Eric, a couple questions / comments:

1. the firewall will be on bare hardware, or on KVM?

2. I know DVD drives are cheap now, but you could use an external USB drive, or it is possible to install from USB thumbdrives with a little effort

3. if you want to save electricity, there is a Xeon CPU which is equivalent to a mid-range i7 with a TDP of 45W:
Intel Xeon E3-1265L V2 Ivy Bridge 2.5GHz (3.5GHz Turbo) LGA 1155 45W Quad-Core Server Processor BX80637E31265L2
It will work in many socket-1155 motherboards.
It costs about $320USD online, but I figure the power savings will eventually make up for it, and it would be very fast (should be usable for many years).

There is also a low-power i7, the 3770T, but it seems to be near impossible to find, whereas the Xeon is in stock on Newegg et al.

4. does that case have any dust filters? Does it come with a power supply?

Barry

Hi Eric,

I see you edited/added to your post while I was writing my last one...

I wouldn't use a desktop distribution such as MythBuntu for hosting all your servers and firewall; it won't have a 'stable' version long-term support; i.e. you'll be having to update it to new OS versions frequently to keep it secure.
Compare that with RHEL/CentOS or Ubuntu LTS where a single version is supported for many years with bug and security fixes.

A dedicated hypervisor such as ESXi would be more stable, perform better, and be more secure, but you wouldn't be able to run MythTV on it with TV/video output.

Maybe you should use your old server as a dedicated firewall or a dedicated MythTV box, and do VMs on the new server for everything else.

Barry

A dedicated hypervisor such as ESXi would be more stable, perform better, and be more secure, but you wouldn't be able to run MythTV on it with TV/video output.

I tested Hyper-V 2012 and ESXi 5.1 on a number for systems and ESXi wasn't always the fastest to my surprise. Do your own tests and see how it goes.

I would run ESXi instead, it performs better and the networking (vSwitch) blows KVM out of the water.

Additionally, why are you getting so many NICs? Just use a single dual port Intel Pro/1000 PCI express adapter - and a Netgear GS108T ($75) which supports VLAN tags.

Cannot run ESXi due to:

• Have a powerware UPS which far as I now, ESXi cannot connect to in order to shutdown the instances and then shutdown when the UPS battery is empty.
  
• Have a rocketraid raid-card which have a driver for ESXi, but I do not know if it possible to set up rocketraid managing (cli or web gui) on the ESXi host
  
• Using MythTv in Mythbuntu with a quad PCIe TBS Card for DVB-S, oscam and a conax-card reader, which I am not sure how to set up in ESXi
  

Using multiple NICs is maybe unnecessarily, my reasons are:

• A want to have external network on a separate 100Mbit/s NIC due to security reasons.
  
• A want to have Internal network on a separate 1000 Mbit/s NIC because I want to have high bandwidth since the KVM host is also a NAS
  
• A want to have Wireless network on separate 1000 Mbit/s NIC because I also want to have higher NAS bandwidth over wireless when another home computer is watching video etc on the NAS via the internal network
  
• A want to have all my virtualized dmz instances on a separate NIC not to interfere with bandwidth on internal network
  

Maybe I am thinking correct here? I already have GS108T bigger relative, Netgear GS724TP

Hi Eric, a couple questions / comments:

1. the firewall will be on bare hardware, or on KVM?

2. I know DVD drives are cheap now, but you could use an external USB drive, or it is possible to install from USB thumbdrives with a little effort

3. if you want to save electricity, there is a Xeon CPU which is equivalent to a mid-range i7 with a TDP of 45W:
Intel Xeon E3-1265L V2 Ivy Bridge 2.5GHz (3.5GHz Turbo) LGA 1155 45W Quad-Core Server Processor BX80637E31265L2
It will work in many socket-1155 motherboards.
It costs about $320USD online, but I figure the power savings will eventually make up for it, and it would be very fast (should be usable for many years).

There is also a low-power i7, the 3770T, but it seems to be near impossible to find, whereas the Xeon is in stock on Newegg et al.

4. does that case have any dust filters? Does it come with a power supply?

Barry

1. The reason for this build is to run the firewall on an own hardware, not as a virtual instance. It has a practical reason. When new kernel updates arrives to the KVM host, I must recompile some drivers after updating the hosts kernel. Sometimes, when compiling I must also download new header files. If the firewall is not running, it is somewhat more complicated to finnish the update. If the firewall is running in an own hardware, it is much more easier since I will have Internet connection when updating the kernel om my KVM host.

2. The DVD drive is very cheap, about $20

3. Thank you for the tip. I will check it out if I am going this way.

4. The Case has no power supply, I missed that. Thanks. The case has also no dust filers. Today I am cleaning my cases once every six months.

Hi Eric,
I wouldn't use a desktop distribution such as MythBuntu for hosting all your servers and firewall; it won't have a 'stable' version long-term support; i.e. you'll be having to update it to new OS versions frequently to keep it secure.

I am using MythBuntu 12.04 which is based on Ubuntu 12.04 LTS and MythTv Team will also support MythBuntu 12.04 as long as Ubuntu 12.04 LTS. 

MythBuntu is using the Ubuntu desktop version, but as far as I can see there are no differences between the server version and desktop version besides the desktop.

The reason for doing all this on one hardware have Barry already mentioned - to save energy.

I have already all the hardware for the server. It has a INTEL CORE I5 3450 3.1GHZ 6MB S-1155 IVYs CPU with 16GB ram. All installation is done, besides configuring KVM networking with convirt and of course the virtual instances.

I am using MythBuntu 12.04 which is based on Ubuntu 12.04 LTS and MythTv Team will also support MythBuntu 12.04 as long as Ubuntu 12.04 LTS. 

MythBuntu is using the Ubuntu desktop version, but as far as I can see there are no differences between the server version and desktop version besides the desktop.

OK, didn't realize Mythbuntu was built on LTS.

Also, I wasn't sure if you were running Astaro in a KVM under Mythbuntu, but you're not, so good.

Barry

Using multiple NICs is maybe unnecessarily, my reasons are:

• A want to have external network on a separate 100Mbit/s NIC due to security reasons.
  
• A want to have Internal network on a separate 1000 Mbit/s NIC because I want to have high bandwidth since the KVM host is also a NAS
  
• A want to have Wireless network on separate 1000 Mbit/s NIC because I also want to have higher NAS bandwidth over wireless when another home computer is watching video etc on the NAS via the internal network
  
• A want to have all my virtualized dmz instances on a separate NIC not to interfere with bandwidth on internal network
  

Maybe I am thinking correct here? I already have GS108T bigger relative, Netgear GS724TP

If you only have 1 switch, then you probably don't want to plug multiple NICs from Astaro into it. It might work if you isolate the VLANs correctly, but if you don't it will be extremely unstable.
Unless you're going to do NIC teaming/bonding for higher bandwidth, which is a different story but probably totally unnecessary for in-home.

In which case, you can do 2 NICs:
EXT
INT (VLAN, note during initial configuration, you will need to connect to the EXT interface so you can configure the INT as type VLAN)

If the home computer is watching video over LAN ethernet, then it doesn't matter where the wireless is hooked up.
If it's watching video over ethernet from another VLAN, the wireless still doesn't matter, but DO see my notes below about IPS bottlenecks (still should be fast enough for video though).

In general, for extra security I recommend creating an 'Untrusted Wireless' LAN/DMZ on a separate NIC or VLAN (use your VLAN switch, you don't need to use another NIC).
However, depending what your WiFi clients need to connect to in the LAN, whether they are trusted, and the protocols involved, you may not want to do this. For example, broadcast (uPnP, etc.) protocols will not work between LANs/VLANs.

Some of your comments about extra bandwidth confuse me; the switch will ensure that LAN->LAN traffic will all be at gigE, even if other PCs or wifi clients are using the internet, etc.

(LAN->LAN will not touch the firewall)
HOWEVER, you need to realize than any traffic between different interfaces OR DIFFERENT VLANs will go through the firewall, and the IPS will be a bottleneck at gigE speeds (different users have reported IPS bandwidths of 100-600mbps, you can create IPS exceptions if that is a problem for your VLAN servers).
For home use, you probably would only notice that file copying is slower, streaming video, etc. shouldn't be a problem, but always check the IPS logs if you're having trouble.

Barry

I understand that my attempt to explain how I want to use the interfaces is confusing [:)] Sorry for that.

• External will be on a own interface due to security reasons
  
• Internal  will also be on an own interface, most due to practical reasons - you  mentioned one about configuring UTM. Another one is that the KVM host  will be connected to internal and I want to be able to connect to it  without using VLAN
  
• Wireless should be on a own NIC if broadcasting should work?
  
• Other networks suchs as DMZ (plural) can be put one one separate tagged VLAN NIC.
  

However  my goal is first to test if UTM can run on my MythBuntu KVM host.  If that is not working, I will move the UTM to an own hardware.

One more thing: If running a virtualized UTM I do not need any VLANs for the DMZ instances if  I can create virtual only networks between the UTM and each virtualized DMZ instance.

Have a powerware UPS which far as I now, ESXi cannot connect to in order to shutdown the instances and then shutdown when the UPS battery is empty.

ESXi support for UPS' is virtually non-existent, even for enterprise level units. There are some setups out there that use a linux vm w/ NUT(Network UPS Tools) and VMware's esxcli to do a shutdown. On of the NUT developers has created a small ESXi plugin for v5 that simplifies this somewhat.

Have a rocketraid raid-card which have a driver for ESXi, but I do not know if it possible to set up rocketraid managing (cli or web gui) on the ESXi host.

 ESXi uses a plugin architecture for that kind of thing. I'm running ESXi on IBM servers at work (LSI controllers) and even those don't have cli/gui access from the ESXi client.

Using MythTv in Mythbuntu with a quad PCIe TBS Card for DVB-S, oscam and a conax-card reader, which I am not sure how to set up in ESXi.

You'd need to have relatively recent kit with support for VT-d or PCI Passthrough. Then you can assign the cards to specific VM's.

• A want to have external network on a separate 100Mbit/s NIC due to security reasons.
  
• A want to have Internal network on a separate 1000 Mbit/s NIC because I want to have high bandwidth since the KVM host is also a NAS
  
• A want to have Wireless network on separate 1000 Mbit/s NIC because I also want to have higher NAS bandwidth over wireless when another home computer is watching video etc on the NAS via the internal network
  
• A want to have all my virtualized dmz instances on a separate NIC not to interfere with bandwidth on internal network
  

With a proper VLAN setup, security isn't a concern. The only time that both multiple networks are on the same wire is between the host's interface and the tagged VLAN interface on the switch. And as both are designed not to allow bleed over, the only way an attacker on the outside network could sniff internal packets if if he/she got physical access to the cable. Even an attacker on the inside trying to force different VLAN tags should be shutdown if the switch is configured properly. At work we use VLAN's and I've got all access ports on the switches setup to ignore/strip VLAN tags.

Bandwidth wise, Wireless can run just fine over a tagged VLAN. Unless you are using 802.11ac, you'll never max out a gigabit line with a single WiFi AP.

Couple notes about 802.11n

• The advertised 600Mbps maximum is half-duplex and assumes one client using all four MIMO streams.
  
• The 600Mbps is shared among all devices.
  
• 802.11n will downgrade to b or g speeds if an older device joins the WiFi.
  

Realworld? Most n devices will only talk at 300Mbps to the AP. Communication is half-duplex so actual speeds are closer to 150Mbps. Assuming each devices can use a seperate MIMO stream, max is around 600Mbps total. I routinely run 1080p HD video over 802.11n (300mbps) with no issues.

On the horizon there is 802.11ac & ad which will max out a gig link. From what I've been reading that tech will require 10Gig interfaces to properly support the AP's. That's a while off yet tho. [;)]